Profilanwendbarkeit: Stufe 1 - Masterknoten
Binden Sie den Scheduler-Dienst nicht an unsichere Nicht-Loopback-Adressen.
Der Scheduler-API-Dienst, der standardmäßig auf Port 10251/TCP läuft, wird für Gesundheits-
und Metrikinformationen verwendet und ist ohne Authentifizierung oder Verschlüsselung
verfügbar. Daher sollte er nur an eine localhost-Schnittstelle gebunden werden, um
die Angriffsfläche des Clusters zu minimieren.
 |
HinweisStandardmäßig ist der
--bind-address-Parameter auf 0.0.0.0 gesetzt. |
Prüfung
Führen Sie den folgenden Befehl auf dem Steuerungsknoten aus:
ps -ef | grep kube-scheduler
Überprüfen Sie, ob das Argument
--bind-address auf 127.0.0.1 gesetzt ist.Wiederherstellung
Bearbeiten Sie die Scheduler-Pod-Spezifikationsdatei
/etc/kubernetes/manifests/kube-scheduler.yaml auf dem Steuerknoten und stellen Sie sicher, dass der korrekte Wert für den Parameter
--bind-address festgelegt ist.